OSX/Sabpab ha sido descubierto en un honeypot de Kaspersky utilizando un bug de Microsoft Office para mac, en concreto el CVE-2009-0563, para distribuirse en equipos Mac OS X sin parchear.
Figura 1: Información del documento utilizado para explotar el bug |
El documento utilizado parece formar parte de los ataques APT contra las ONGs pro-Tibet, ya que ésta versión de OSX/Sabpab está utilizando un fichero .doc llamado 10th March Statemnet relacionado con un discurso del Dalai-Lama sobre el aniversario del levantamiento del pueblo tibetano. Además, ha seguido los mismos pasos que el troyano anterior, denominado Tibet.a y Tibet.c, que primero se distribuyó con un applet malicioso y luego con un documento .doc malicioso.
Lo más curioso es que se ha podido ver cómo el atacante estaba buscando manualmente documentación de la máquina infectada, lo que parece confirmar que este malware está siendo utilizado en un ataque dirigido en el que se está buscando algo en concreto.
Figura 3: Listado de directorios hecho manualmente por el atacante |
En el momento de su descubrimiento, según el informe de Kaspersky, el número de detecciones de este malware por los motores de AV en Virus Total era de 0 de 40, por lo que parece que se están esforzando mucho en la evasión del software de antimalware.
Os recordamos que para mantener actualizado Microsoft Office para mac existe un software de Microsoft para mantenerlo actualizado.
Os recordamos que para mantener actualizado Microsoft Office para mac existe un software de Microsoft para mantenerlo actualizado.
No hay comentarios:
Publicar un comentario